А у нас, похоже, нарисовался чемпион по скорости реакции на коронавирус среди прогосударственных APT.
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Mandiant
Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID…
Мы что-то давно не давали никаких обзоров APT и их атак. Исправляемся.
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Malwarebytes
Release the Kraken: Fileless injection into Windows Error Reporting service | Malwarebytes Labs
We discovered a new attack that injected its payload—dubbed "Kraken—into the Windows Error Reporting (WER) service as a defense evasion mechanism.
Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus.
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
#APT #OceanLotus
Trend Micro
New MacOS Backdoor Connected to OceanLotus Surfaces
We recently discovered a new backdoor we believe to be related to the OceanLotus group. Some of the updates of this new variant include new behavior and domain names.
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
ZDNET
Facebook links APT32, Vietnam's primary hacking group, to local IT firm
Facebook suspends accounts linked to APT32, says the group used its platform to spread malware.